Лекции Беликова. Лекции БЕЛИКОВОЙ Н.В.. Конспект лекций по дисциплине Информационная безопасность для специальности 080505 Управление персоналом
 Скачать 1.25 Mb.
|
4.5 Экономические информационные системы и их безопасность4.5.1 Понятие Экономической информационной системыЭИС представляет собой систему, функционирование которой во времени заключается в сборе, хранении, обработке и распространении информации о деятельности какого-то экономического объекта реального мира. Информационная система создается для конкретного экономического объекта и должна в определённой мере копировать взаимосвязи элементов объекта. ЭИС предназначены для решения задач обработки данных, автоматизации конторских работ, выполнения поиска информации и отдельных задач, основанных на методах искусственного интеллекта. Задачи обработки данных обеспечивают обычно рутинную обработку и хранение экономической информации с целью выдачи (регулярной или по запросам) сводной информации, которая может потребоваться для управления экон. объектом. Автоматизация конторских работ предполагает наличие в ЭИС системы ведения картотек, системы обработки текстовой информации, системы машинной графики, системы электронной почты и связи. Поисковые задачи имеют свою специфику, и информационный поиск представляет собой интегральную задачу, которая рассматривается независимо от экономики или иных сфер использования найденной информации. Алгоритмы искусственного интеллекта необходимы для задач принятия управленческих решений, основанных на моделировании действий специалистов предприятия при принятии решений Классификация ЭИС В связи с большим количеством функциональных особенностей для ЭИС может быть выделено множество различных классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно различать ЭИС предприятия, района, области и государства. В экономике с учетом сферы применения выделяются: • банковские информационные системы; • информационные системы фондового рынка; • страховые информационные системы; • налоговые информационные системы; • информационные системы промышленных предприятий и организаций (особое место по значимости и распространенности в них занимают бухгалтерские ИС); • статистические информационные системы и др. Структура ЭИС Структура экономической системы (промышленного предприятия, торговой организации, коммерческого банка, государственного учреждения и т. д.) с позиции кибернетики выглядит как основные информационные потоки между внешней средой, объектом и системой управления и связаны с поддерживающей их экономической информационной системой (ЭИС). В экономической системе объект управления представляет собой подсистему материальных элементов экономической деятельности (на промышленном предприятии: сырье и материалы, оборудование, готовая продукция, работники и др.) и хозяйственных процессов (на промышленном предприятии: основное и вспомогательное производство, снабжение, сбыт и др.). Функции ЭИС Система управления представляет собой совокупность взаимодействующих структурных подразделений экономической системы (например, на промышленном предприятии: дирекция, финансовый, производственный, снабженческий, сбытовой и др. отделы), осуществляющих следующие функции управления: • планирование — функция, определяющая цель функционирования экономической системы на различные периоды времени (стратегическое, тактическое, оперативное планирование); • учет — функция, отображающая состояние объекта управления в результате выполнения хозяйственных процессов; • контроль — функция, с помощью которой определяется отклонение учетных данных от плановых целей и нормативов; • оперативное управление — функция, осуществляющая регулирование всех хозяйственных процессов с целью исключения возникающих отклонений в плановых и учетных данных; • анализ — функция, определяющая тенденции в работе экономической системы и резервы, которые учитываются при планировании на следующий временной период. Информационные системы В соответствии с характером обработки информации в ЭИС на различных уровнях управления экономической системой (оперативном, тактическом и стратегическом) выделяются следующие типы информационных систем: • системы обработки данных (СОД — EDP electronic data processing) • системы управления • системы поддержки принятия решений Системы обработки данных (СОД) предназначены для учета и оперативного регулирования хозяйственных операций, подготовки стандартных документов для внешней среды (счётов, накладных, платежных поручении) Горизонт оперативного управления хозяйственными процессами составляет от одного до несколько дней и реализует регистрацию и обработку событий, например оформление и мониторинг выполнения заказов, приход и расход материальных ценностей на складе, ведение табеля учета рабочего времени и т. д. Эти задачи имеют итеративный, регулярный характер, выполняются непосредственными исполнителями хозяйственных процессов (рабочими, кладовщиками, администраторами и тд) и связаны с оформлением и пересылкой документов в соответствии с четко определёнными алгоритмами Результаты выполнения хозяйственных операций через экранные формы вводятся в базу данных Информационные системы управления (ИСУ) ориентированы на тактический уровень управления, среднесрочное планирование, анализ и организацию работ в течение нескольких недель (месяцев), например анализ и планирование поставок, сбыта, составление производственных программ Для данного класса задач характерны регламентированность (периодическая повторяемость) формирования результатных документов и четко определённый алгоритм решения задач, например свод заказов для формирования производственной программы и определение потребности в комплектующих деталях и материалах на основе спецификации изделий Решение подобных задач предназначено для руководителей различных служб предприятий (отделов материально-технического снабжения и сбыта, цехов и тд) Задачи решаются на основе накопленной базы оперативных данных Системы поддержки принятия решений (СППР) используются в основном на верхнем уровне управления (руководства фирм, предприятий, организаций), имеющего стратегическое долгосрочное значение в течение года или нескольких лет К таким задачам относятся формирование стратегических целей, планирование привлечения ресурсов, источников финансирования, выбор места размещения предприятий и тд Реже задачи класса СППР решаются на тактическом уровне, например при выборе поставщиков или заключении контрактов с клиентами Задачи СППР имеют, как правило, нерегулярный характер Для задач СППР свойственна недостаточность имеющейся информации, её противоречивость и нечеткость, преобладание качественных оценок целей и ограничений, слабая формализованность алгоритмов решения. В качестве инструментов обобщения чаще всего используются средства составления аналитических отчетов произвольной формы, методы статистического анализа, экспертных оценок и систем, математического имитационного моделирования. При этом используются базы обобщенной информации, информационные хранилища, базы знаний о правилах и моделях принятия решений Идеальной считается ЭИС, которая включает все три типа перечисленных информационных систем В зависимости от охвата функций н уровней управления различают корпоративные (интегрированные) и локальные ЭИС. Корпоративная (интегрированная) ЭИС автоматизирует все функции управления на всех уровнях управления Такая ЭИС является многопользовательской, функционирует в распределенной вычислительной сети Локальная ЭИС автоматизирует отдельные функции управления на отдельных уровнях управления Такая ЭИС может быть однопользовательской, функционирующей в отдельных подразделениях системы управления. Одним из основных свойств ЭИС является делимость на подсистемы, которая имеет ряд достоинств с точки зрения разработки и эксплуатации ЭИС, к которым относятся: 1.упрощение разработки и модернизации ЭИС в результате специализации групп проектировщиков по подсистемам. 2.упрощение внедрения и поставки готовых подсистем в соответствии с очередностью выполнения работ. 3.упрощение эксплуатации ЭИС вследствие специализации работников предметной области. Обычно выделяют функциональные и обеспечивающие подсистемы. Функциональная подсистема ЭИС представляет собой комплекс экономических задач с высокой степенью информационных обменов (связей) между задачами При этом под задачей понимается некоторый процесс обработки информации с четко определённым множеством входной и выходной информации (например, начисление сдельной заработной платы, учет прихода материалов, оформление заказа на закупку и тд). Состав функциональных подсистем во многом определяется особенностями экономической системы, её отраслевой принадлежностью, формой собственности, размером, характером деятельности предприятия. Функциональные подсистемы ЭИС могут строиться по различным принципам: 1.предметному 2.функциональному 3.проблемному 4.смешанному (предметно-функциональному) 4.5.2 Основные технологии построения защищенных ЭИСМетоды и средства защиты информации в экономических информационных системах При разработке АИТ возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем. Современные АИТ обладают следующими основными признаками: Содержат информацию различной степени конфиденциальности; • при передаче данных имеют криптографическую защиту информации различной степени конфиденциальности; • отражают иерархичность полномочий субъектов, открывают доступ к программам, к АРМ, файл-серверам, каналам связи и информации системы; необходимость оперативного изменения этих полномочий; • организуют обработку информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени; • обеспечивают управление потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния; • регистрируют и учитывают попытки несанкционированного доступа, события в системе и документах, выводимых на печать; • обеспечивают целостность программного продукта и информации в АИТ; • устанавливают наличие средств восстановления системы защиты информации, а также обязательный учет магнитных носителей; • создают условия для физической охраны средств вычислительной техники и магнитных носителей. Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия: • устанавливается наличие конфиденциальной информации в разрабатываемой АИТ, оцениваются уровень конфиденциальности и объёмы такой информации; • определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т. д.; • анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации; • определяется степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности; • вводятся мероприятия по обеспечению режима секретности на стадии разработки системы. Среди организационных мероприятий по обеспечению безопасности информации важное место принадлежит охране объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи. Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает: • учет, хранение и выдачу пользователям информационных носителей, паролей, ключей; • ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа); • оперативный контроль за функционированием систем защиты секретной информации; • контроль соответствия общесистемной программной среды эталону; • приемку включаемых в АИТ новых программных средств; • контроль за ходом технологического процесса обработки финансово-кредитной информации путём регистрации анализа действий пользователей; • сигнализацию опасных событий и т. д. Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти программно-технические средства ни были. Создание базовой системы защиты информации в АИТ основывается на следующих принципах: 1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты. 2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определённых полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации. 3. Полнота контроля и регистрации попыток несанкционированного доступа, то есть необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без её предварительной регистрации. 4. Обеспечение надежности системы защиты, то есть невозможность снижения её уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала. 5. Обеспечение контроля за функционированием системы защиты, то есть создание средств и методов контроля работоспособности механизмов защиты. 6. Прозрачность системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ. 7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации. К основным средствам защиты, используемым для создания механизма защиты, относятся следующие. Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.). Программные средства — это программное обеспечение, специально предназначенное для выполнения функций защиты информации. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах её жизненного цикла (проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытание, эксплуатация). Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Подобные нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США. Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил. Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность). Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений. Сущность криптографических методов заключается в следующем. Готовое к передаче сообщение — будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Метод преобразования в криптографической системе определяется используемым специальным алгоритмом, действие которого определяется уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования — другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ. Наряду с шифрованием внедряются следующие механизмы безопасности: • цифровая (электронная) подпись; • контроль доступа; • обеспечение целостности данных; • обеспечение аутентификации; • постановка графика; • управление маршрутизацией; • арбитраж или освидетельствование. Механизмы цифровой подписи основываются на алгоритмах асимметричного шифрования и включают две процедуры: формирование подписи отправителем и её опознавание (верифи- кацию) получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической, контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя. Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке. Механизмы обеспечения целостности данных применяются к отдельному блоку и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока и обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает её с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков. Механизмы постановки графика, называемые также механизмами заполнения текста, используются для засекречивания погода данных. Они основываются на генерации объектами АИТ фиктивных блоков, их шифровании и организации передачи по каналам сети. Тем самым нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи. Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным) физически ненадежным каналам. Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИТ, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики. В АИТ при организации безопасности данных используется комбинация нескольких механизмов. |